Verwarnen statt strafen: Darf die Datenschutzbehörde auch sofort strafen?

Header_Datenschutz_clean

Österreich wäre nicht Österreich, wenn wir nicht anders als alle anderen wären. Also haben wir parallel zur Datenschutz-Grundverordnung nicht nur das Datenschutz-Anpassungsgesetz 2018, sondern auch das Datenschutz-Deregulierungs-Gesetz 2018. Mit diesem letztgenannten Gesetz versucht der österreichische Gesetzgeber unter anderem die DSGVO „auszuhebeln“. Ein vergeblicher Versuch. Denn Europarecht steht über nationalem Recht.

Schon lange diskutieren Experten über § 11 des Datenschutz-Deregulierungs-Gesetzes 2018. Unter dem Titel „Verwarnung durch die Datenschutzbehörde“ steht dort zu lesen:

Die Datenschutzbehörde wird den Katalog des Art. 83 Abs. 2 bis 6 DSGVO so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird. Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.

Muss die Datenschutzbehörde bei erstmaligen Verstößen verwarnen statt strafen?

In ihrem neuesten Newsletter (Nr. 2/2020) beschäftigt sich die Datenschutzbehörde ausführlich mit diesem Thema. Um die Antwort vorweg zu nehmen: die Datenschutzbehörde kann selbstverständlich schon beim erstmaligen Verstoß Geldbußen verhängen. Die (gesetzliche) Pflicht zum Verwarnen besteht nicht.

Artikel 83 der DSGVO regelt grundsätzlich, dass verhängte Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein müssen. Schon diese Bestimmung eröffnet der DSB im Rahmen ihrer Abhilfebefugnisse (Artikel 58 DSGVO) die Möglichkeit, in Einzelfällen von Strafen abzusehen. Die Notwendigkeit diese Möglichkeit mit § 11 Datenschutz-Deregulierungs-Gesetz 2018 zusätzlich zu normieren, besteht also grundsätzlich nicht (und ist sogar verboten, siehe weiter unten).

Datenschutzbehörde ist und bleibt unabhängig

Gemäß Artikel 51 DSGVO ist die Datenschutzbehörde eine unabhängige Aufsichtsbehörde, die für die Festsetzung von Sanktionen zuständig ist. Nach Artikel 58 Absatz 2 Buchstabe i DSGVO kann die DSB Geldbußen „zusätzlich zu oder anstelle von“ anderen Befugnissen verhängen. Ein solches Befugnis ist das in Artikel 58 Absatz 2 Buchstabe b genannte Verwarnen eines Verantwortlichen oder Auftragsverarbeiters.

Diese Befugnis, die der Datenschutzbehörde von der DSGVO eingeräumt wird, kann der nationale Gesetzgeber nicht einschränken indem er festlegt, dass beim erstmaligen Verstoß jedenfalls verwarnt statt gestraft werden muss. Es handelt hier um keine der vielen Öffnungsklauseln der DSGVO, welche national festgelegt werden können. Europarecht hat Vorrang vor nationalem Recht.

Datenschutzbehörde entscheidet auf Basis der DSGVO

Gemäß der Rechtsprechung des Europäischen Gerichtshofes EuGH ist es den EU-Mitgliedstaaten sogar verboten, unmittelbar anwendbares Unionsrecht – wie die DSGVO – in nationalen Rechtsvorschriften zu wiederholen. Darüber hinaus erweckt die in § 11 des Datenschutz-Deregulierungs-Gesetzes festgehaltene „Anweisung“ den Eindruck, dass die Unabhängigkeit der Datenschutzbehörde unterbunden wird – was auch nicht sein kann und darf.

Die Datenschutzbehörde stellt folglich in ihrem Newsletter fest, dass sie von § 11 des Datenschutz-Deregulierungs-Gesetzes (auf Grund des Anwendungsvorranges von Unionsrecht) in ihrem Ermessensspielraum beim Verhängen von Sanktionen nicht beschränken wird und daher auch bei erstmaligen Verstößen Geldbußen verhängen kann. Diese Sichtweise folgt auch bereits das Bundesverwaltungsgericht in einer (noch nicht rechtskräftigen) Entscheidung im Rahmen einer Beschwerde.

Fazit: die DSB kann auch beim erstmaligen Verstoß strafen

Die Datenschutzbehörde braucht § 11 des Datenschutz-Deregulierungs-Gesetzes nicht, um von ihrer Befugnis des Verwarnens Gebrauch machen zu können. Bereits die DSGVO eröffnet diese Möglichkeit. Verantwortliche, die sich angesichts von § 11 Datenschutz-Deregulierungs-Gesetz bis dato „in Sicherheit wiegen“, weil ja beim erstmaligen Verstoß eh nicht gestraft werden darf (immer wieder höre ich diese Aussage bei meinen Vorträgen), mögen ihre irrige Sichtweise spätestens auf Basis der Klarstellung der Datenschutzbehörde überdenken. Denn es kann auch schon beim erstmaligen Verstoß teuer werden.


Nur ein Klick zur Newsletter-Anmeldung!

Nach Klick auf den Button können Sie mir eine Nachricht an meine Adresse jaichwillnews@andreasdolezal.at mit Ihren Kontaktdaten in der Signatur senden. Diese Nachricht verstehe ich als Ihre Zustimmung für das Zusenden von Informationen an Ihre Absender-Mailadresse sowie das Akzeptieren der Datenschutzinformation.


Weitere interessante Beiträge:

JEDER kann Opfer einer Cyber-Attacke werden

WhatsApp in der Unternehmenskommunikation: Ist das rechtskonform möglich?

Mobile Banking: Eher praktisch oder mehr riskant?

Digitale Sprachassistenten: Risiken beim Nutzen von Alexa & Co.